你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 应用程序配置的 Azure Policy 内置定义
此页是 Azure 应用程序配置的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 应用配置
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应用配置应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
| 应用程序配置应使用客户管理的密钥 | 客户管理的密钥可便于管理加密密钥,从而提供增强的数据保护。 这通常是满足合规性要求所必需的。 | Audit、Deny、Disabled | 1.1.0 |
| 应用配置应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
| 应用程序配置应使用异地复制 | 使用异地复制功能在当前配置存储区的其他位置创建副本,以提高复原能力和可用性。 此外,使用多区域副本可以更好地分配负载、降低延迟、防止数据中心中断,并隔离全球分布的工作负载。 有关详细信息,请访问:https://aka.ms/appconfig/geo-replication。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用程序配置应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应用程序配置存储应禁用本地身份验证方法 | 禁用本地身份验证方法可确保应用程序配置存储需要专用于身份验证的 Microsoft Entra 标识,从而提高安全性。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2161954。 | Audit、Deny、Disabled | 1.0.1 |
| 配置应用程序配置存储以禁用本地身份验证方法 | 禁用本地身份验证方法,使应用程序配置存储需要专门针对身份验证的 Microsoft Entra 标识。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2161954。 | 修改,已禁用 | 1.0.1 |
| 将应用配置配置为禁用公用网络访问 | 禁用对应用配置的公用网络访问,确保无法通过公共 Internet 对其进行访问。 此配置有助于这些帐户防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | 修改,已禁用 | 1.0.0 |
| 为应用配置配置专用终结点 | 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到应用配置实例,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 按类别组为应用程序配置 (microsoft.appconfiguration/configurationstores) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略将使用类别组来部署诊断设置,从而为应用程序配置 (microsoft.appconfiguration/configurationstores) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 按类别组为应用程序配置 (microsoft.appconfiguration/configurationstores) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略将使用类别组来部署诊断设置,从而为应用程序配置 (microsoft.appconfiguration/configurationstores) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为应用程序配置 (microsoft.appconfiguration/configurationstores) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略将使用类别组来部署诊断设置,从而为应用程序配置 (microsoft.appconfiguration/configurationstores) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。